Cómo desactivar las unidades USB en Windows 11 y Windows 10

Esta concisa guía muestra cómo desactivar las unidades USB en Windows y manejar los riesgos de la unidad USB. Bloquear el acceso USB es importante para la seguridad en las implementaciones de Windows 11 y Windows 10 en las organizaciones, así como en los dispositivos personales, ya que puede evitar la propagación de malware, el robo de datos e incluso daños físicos en los dispositivos.

Cómo desactivar las unidades USB en Windows

El método que utilices para desactivar las unidades USB en Windows dependerá de si estás gestionando un único dispositivo o varios. Antes de realizar cualquier cambio en tu sistema, se recomienda que realices una copia de seguridad completa.

Ten en cuenta que deberás iniciar sesión como Administrador para realizar todas las tareas que se indican a continuación.

Uso del Editor del Registro de Windows para desactivar el almacenamiento USB

Este método para desactivar las unidades USB permite que otros dispositivos USB sigan funcionando, y se realiza a través del Registro de Windows:

• Haz clic derecho en Iniciar, pulsa Ejecutar e introduce «regedit» para abrir el Editor del Registro.
• En el editor del Registro, ve a HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR.
• Edita el valor de la clave de registro Iniciar en la ruta USBSTOR y cámbialo a 4.
• Para revertir este cambio y volver a habilitar el almacenamiento USB, cambia el valor de Start de nuevo a 3.

Cuando el valor de la clave de registro Iniciar en USBSTOR se establece en 4, no ocurrirá nada cuando se conecte una unidad USB y aparecerá un error en la entrada del administrador de dispositivos para el dispositivo de almacenamiento USB.

Uso del Editor de directivas de grupo de Windows para desactivar el almacenamiento USB

También puedes utilizar la directiva de grupo para deshabilitar el acceso a unidades USB en un único equipo o en un dominio de Windows mediante Active Directory:

• Haz clic derecho en Iniciar, haz clic en Ejecutar e introduce «gpedit.msc» para abrir el Editor de directivas de grupo.
• En el Editor de directivas de grupo, utiliza el árbol de navegación del panel izquierdo para ir a Configuración del equipo/Plantillas administrativas/Sistema/Acceso a almacenamiento extraíble.
• En el panel derecho, selecciona Discos extraíbles: Denegar acceso de ejecución.
• Marca Activado para activar esta política y desactivar el almacenamiento USB extraíble.

Si quieres implementar esta política en varios equipos de un dominio de Windows, utiliza la Consola de administración de directivas de grupo ejecutando gpmc. smc en un controlador de dominio. A continuación, activa la política anterior para la unidad organizativa para la que deseas desactivar el almacenamiento USB extraíble. Esto te permite activar la restricción en función de la pertenencia a un grupo de usuarios, o para máquinas específicas.

Uso del Administrador de dispositivos para desactivar puertos USB

Para bloquear el acceso USB en un solo ordenador, puedes utilizar el Administrador de dispositivos. Ten en cuenta que este método conlleva el riesgo de que deshabilites el puerto USB o el controlador al que están conectados el ratón y el teclado, por lo que se recomienda que utilices un método para deshabilitar únicamente los dispositivos de almacenamiento USB, o que establezcas un punto de restauración del sistema antes de empezar para poder revertir el cambio.

• Haz clic derecho en el botón Inicio y en Administrador de dispositivos.
• Expande el menú Controladores de bus serial universal.
• Haz clic con el botón derecho y desactiva los puertos USB según sea necesario.

Uso de herramientas de terceros para bloquear el acceso USB

Existen varios productos que permiten desactivar las unidades USB en Windows y, en algunos casos, permiten la gestión remota de los dispositivos. Se trata de USB Block y USB Lock RP.

A menos que necesites controlar qué dispositivos USB específicos pueden conectarse, añadir software de gestión USB adicional a tu sistema suele considerarse innecesario dada la capacidad integrada de Windows para bloquear el acceso al almacenamiento USB (incluida la capacidad para restringir otros tipos específicos de dispositivos USB mediante PowerShell).

Si se requiere una protección más sólida en un entorno corporativo, una solución completa de seguridad para endpoints aborda tanto los riesgos que plantean los dispositivos USB como otros vectores de amenazas a la ciberseguridad.

Comprender los riesgos de las unidades USB

Existen varios riesgos planteados por el almacenamiento USB extraíble que se solucionan desaconsejando o impidiendo su uso:

• Infracciones y robos de datos: las unidades USB que contienen información confidencial pueden ser extraviadas fácilmente por un empleado, lo que puede dar lugar a una brecha de datos. El robo también es un problema, al igual que el riesgo de que un empleado se salte las restricciones de acceso a los datos utilizando el ordenador de un colega para cargar información que no conoce en una memoria USB y compartirla.
• Pérdida y corrupción de datos: las unidades USB no son dispositivos de almacenamiento fiables. Desaconsejar su uso elimina el riesgo de que un empleado traslade datos importantes a una memoria USB y, posteriormente, se pierdan o se corrompan.
• Infecciones de malware y firmware: algunos programas maliciosos pueden propagarse por USB en forma de archivos o ocultos en el firmware, eludiendo las protecciones de red. Además, algunos ciberataques se producen cuando se deja intencionadamente una memoria USB infectada en un lugar donde es probable que un empleado la encuentre y la conecte para ver qué contiene (por ejemplo, en el mostrador de una tienda o en la recepción de un edificio).

Los dispositivos USB también pueden suponer una amenaza física. Los atacantes han utilizado memorias USB especializadas que contienen hardware de alto voltaje para dañar los dispositivos cuando se conectan. Por eso es vital proteger los dispositivos públicos: no solo hay que desactivar el almacenamiento USB, sino también restringir el acceso a los puertos USB físicos.

Casos prácticos e impacto de la desactivación de unidades USB

El principal impacto de desactivar el almacenamiento USB es sobre tus usuarios. Para reducir las quejas por unidades USB que no funcionan, asegúrate de que son conscientes de los cambios que estás introduciendo en sus dispositivos.

Aunque algunas soluciones de seguridad de Windows permiten poner en la lista blanca determinados dispositivos de almacenamiento USB, esto no impide que se utilicen en otros ordenadores fuera de tu control, pudiendo infectarlos con malware. En su lugar, considera la posibilidad de desplegar almacenamiento en la nube o recursos compartidos de red que puedan supervisarse para detectar usos indebidos y malware, para que tus usuarios compartan archivos o trabajen en ellos cuando estén fuera de la oficina.

La protección manual de los endpoints provoca brechas y fallos de seguridad

Si se intenta gestionar manualmente más de unos pocos dispositivos, es probable que se produzcan errores de configuración, dejando los dispositivos de tu organización vulnerables a las amenazas que plantean los dispositivos de almacenamiento USB inseguros. Es importante que se apliquen las mismas políticas a los dispositivos por motivos de coherencia y mantenimiento.

Si tienes la tarea de proteger varios dispositivos Windows en una red, considera una solución de seguridad que aborde no solo los riesgos que plantean los dispositivos USB, sino también las amenazas de ciberseguridad, como el malware, el phishing, los hackers y los errores de los usuarios. La gestión de endpoints de NinjaOne ofrece una visibilidad completa de tu flota de dispositivos y te permite aplicar las políticas de Windows y supervisar el malware y las posibles brechas de datos para un control completo de tu entorno de TI.